Опять 25

**Alexgood** · 02.04.2008, 19:41

шлёт спам на 25 порт

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**PavelA** · 02.04.2008, 19:55

Восст системы нужно отключить.

Скачать http://uploading.com/ru/files/VVKG3ZDO/1.zip.html
Запустить. В окне найти Ydgk27.sys, C:\WINDOWS\SYSTEM32\WLCtrl32.dll - нажать force delete, подвердить удаление.

Выполнить скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('msfun80.exe','');
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\winlogon.exe','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\rkhdrv10.SYS','');
 QuarantineFile('Ydgk27.sys','');
 QuarantineFile('7B0511C77B0.exe','');
 TerminateProcessByName('7B0511C77B0.exe');
 DeleteFile('Ydgk27.sys');
 DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\winlogon.exe');
DelWinlogonNotifyByFileName('LogCrypt.dll');
BC_DeleteSvc('FCI');
BC_ImportDeletedAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Загрузить карантин. Сделать новые логи.

Если вдруг система не будет грузиться, загрузить последнюю успешную конфигурацию и сделать новые логи, т.к. зловред меняет имя.

**Alexgood** · 02.04.2008, 20:29

Ydgk27.sys этого не нашёл карантин тоже пуст вот новые логи

**Гриша** · 02.04.2008, 20:54

Да булкнет у вас порезвился

Чем его кормили если не секрет?
В IceSword найти:Ahn85.sys,WLCtrl32.dll,Mta52.sys,правая кнопка мыши Force Delete.

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\temp\bn5b.tmp');
TerminateProcessByName('c:\windows\temp\bn59.tmp');
TerminateProcessByName('c:\windows\temp\149781.exe');    
QuarantineFile('linkdel.cmd','');
QuarantineFile('msime82.exe','');
QuarantineFile('WLCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\undname.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Mta52.sys','');
QuarantineFile('C:\WINDOWS\Ahn85.sys','');
QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
QuarantineFile('c:\windows\temp\bn5b.tmp','');
QuarantineFile('c:\windows\temp\bn59.tmp','');
QuarantineFile('c:\windows\temp\149781.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Xek63.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wek52.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wek41.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wdj30.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Vdj06.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Uci85.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Uci74.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Uci52.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Uci06.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Tbh63.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Tbh17.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Tag41.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Syf52.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Syf30.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Sag41.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Sag28.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Ryf41.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Qxe85.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Qxe30.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Qxe06.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Qwd74.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\protect.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Ovc30.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Ovc28.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Ovc06.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Nub67.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Mta63.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Mta17.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Lsy17.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Krx30.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Krx06.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Kqw52.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Kqw28.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Jqw30.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Jpv52.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\irsir.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Ipv63.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Ipv06.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Hou41.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Hou30.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Hnt06.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Gms63.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Flr85.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Elr06.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Dkq85.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Djp63.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Cjp52.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Cio85.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Bio74.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Bio41.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Bio17.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Bhn41.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Ahn30.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Ahn28.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Ahn17.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Ahn85.sys','');
DeleteFile('C:\WINDOWS\System32\Drivers\Ahn85.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Ahn17.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Ahn28.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Ahn30.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Bhn41.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Bio17.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Bio41.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Bio74.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Cio85.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Cjp52.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Djp63.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Dkq85.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Elr06.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Flr85.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Gms63.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Hnt06.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Hou30.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Hou41.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Ipv06.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Ipv63.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Jpv52.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Jqw30.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Kqw28.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Kqw52.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Krx06.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Krx30.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Lsy17.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Mta17.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Mta63.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Nub67.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Ovc06.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Ovc28.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Ovc30.sys');
DeleteFile('C:\WINDOWS\System32\drivers\protect.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Qwd74.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Qxe06.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Qxe30.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Qxe85.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Ryf41.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Sag28.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Sag41.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Syf30.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Syf52.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Tag41.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Tbh17.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Tbh63.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Uci06.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Uci52.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Uci74.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Uci85.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Vdj06.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wdj30.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wek41.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wek52.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Xek63.sys');
DeleteFile('c:\windows\temp\149781.exe');
DeleteFile('c:\windows\temp\bn59.tmp');
DeleteFile('c:\windows\temp\bn5b.tmp');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('C:\WINDOWS\Ahn85.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\Mta52.sys');
DeleteFile('C:\WINDOWS\system32\undname.exe');
DeleteFile('WLCtrl32.dll');
DeleteFile('msime82.exe');    
DeleteService('Xek63');
DeleteService('Wek52');
DeleteService('Wek41');
DeleteService('Wdj30');
DeleteService('Vdj06');
DeleteService('Uci85');
DeleteService('Uci74');
DeleteService('Uci52');
DeleteService('Uci06');
DeleteService('Tbh63');
DeleteService('Tbh17');
DeleteService('Tag41');
DeleteService('Syf52');
DeleteService('Syf30');
DeleteService('Sag41');
DeleteService('Sag28');
DeleteService('Ryf41');
DeleteService('Qxe85');
DeleteService('Qxe30');
DeleteService('Qxe06');
DeleteService('Qwd74');
DeleteService('protect');
DeleteService('Ovc30');
DeleteService('Ovc28');
DeleteService('Ovc06');
DeleteService('Nub67');
DeleteService('Mta63');
DeleteService('Mta17');
DeleteService('Lsy17');
DeleteService('Krx30');
DeleteService('Krx06');
DeleteService('Kqw52');
DeleteService('Kqw28');
DeleteService('Jqw30');
DeleteService('Jpv52');
DeleteService('Ipv63');
DeleteService('Ipv06');
DeleteService('Hou41');
DeleteService('Hou30');
DeleteService('Hnt06');
DeleteService('Flr85');
DeleteService('Elr06');
DeleteService('Dkq85');
DeleteService('Djp63');
DeleteService('Cjp52');
DeleteService('Cio85');
DeleteService('Bio74');
DeleteService('Bio41');
DeleteService('Bio17');
DeleteService('Bhn41');
DeleteService('Ahn30');
DeleteService('Ahn28');
DeleteService('Ahn17');
DeleteService('Mta52');
DeleteService('Ahn85');
BC_ImportALL;  
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке:http://virusinfo.info/upload_virus.php?tid=20891

Повторите логи.

**Alexgood** · 02.04.2008, 21:16

повторяю логи

**Гриша** · 02.04.2008, 21:25

Отключите восстановление системы!Уже намного лучше

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
ClearQuarantine;    
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys','');
QuarantineFile('linkdel.cmd','');
DeleteService('Mta52');
DeleteService('Ahn85');
DeleteFile('C:\WINDOWS\System32\Drivers\Ahn85.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Mta52.sys');
DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys');
DeleteFile('Mta52.sys ');
DeleteFile('Ahn85.sys ');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('Mta52 ');
BC_DeleteSvc('Ahn85 ');
BC_DeleteSvc('smtpdrv');
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке:http://virusinfo.info/upload_virus.php?tid=20891

AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".

Повторите все логи,как положено,их должно быть 3.

**wise-wistful** · 02.04.2008, 21:28

Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )

Код:

O20 - Winlogon Notify: LogCrypt - LogCrypt.dll (file missing)
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\

Опять 25 (заявка № 20891)

Опции темы

Опять 25

Похожие темы

Я опять к Вам!

опять я с win/32

Опять((

опять ЦП загружен на 100%. Опять вирус?

Ваши права в разделе